大型企业网解决方案.doc

大型企业网解决方案 随着Internet技术的飞速发展和普及,企业如何通过建立自己的Internet/Intranet来获得丰富的信息资源，更好地服务于生产经营，以获得更大的利润，现在已经变得越来越迫切。作为国家特大型联合企业，尽快实现自己的Internet/Intranet是我们一直努力并已成功实现了的一个课题。下面就以如何基于微软产品来实施Internet/Intranet的具体技术方案进行讲解。 系统需求 一般大型企业下属十几个生产厂和多个专业化公司，每一个生产厂和专业公司都已经建立了自己的局域网，各局域网之间通过光纤互连形成了整个公司的企业网。 1 为便于统一管理，总公司的Internet对外出口设在信息中心，由信息中心统一控制和配置资源。 2 对内通过划分虚网和IP子网来合理调配数据流量，并以各单位局域网（虚网）为最小管理单位实施对本单位具体用户的资源配置(如IP地址分配、本单位网络服务器上的权限分配等)。 3 Internet用户的开户管理、邮件管理等统一纳入信息中心的管理之下，由信息中心来控制具体实施。 4 如有必要，各单位也可以根据信息中心统一划分的网段地址建立自己的动态地址分配服务器（DHCP）。 5 允许合法用户通过拨号登录到公司企业网。 系统构成 系统方案从整体上来说，所采用的网络设备基于Lucent的M1400交换机、CISCO系列路由器，硬件平台基于Alpha系列服务器，而软件则全部基于正版的Microsoft系列软件。 该方案的主要特点是： 1 易于实现，组织实施比较快。由于是在NT环境下，所以系统管理人员的经验积累比较有基础，便于整个系统的调试和实验。 2 系统采用统一的比较成熟的商业软件，便于维护和管理，避免了多家软件造成的互操作性问题。 3 由于我公司网络服务器已采用NT操作系统，用户管理也是基于NT，所以Internet系统采用Microsoft产品后，可以借助于同一套用户，使得用户管理变得非常简便、容易。 网络体系结构 整个系统的网络体系结构具体设置说明如下： 1 路由器是从公司内部网进入Internet的惟一渠道。通过电信部门已申请获得的32个IP地址的子网（202. 102.148.12960）是Internet上的标准地址，所有通过内部企业网向外部访问的数据包必须经过代理服务器和路由器进行路由。 2 服务器位于整个系统的核心地位，各种应用服务软件均运行其上，关系到整个系统的可维护性、可靠性和运行效率。 3 企业的外部WEB服务器、域名服务器、邮件服务器等均位于非军事区内（即路由器内置防火墙的里面，企业防火墙的外面），而企业内部的WEB服务器、MIS服务器等均放置在企业防火墙以内。非军事区是内部网络与外部网络的缓冲区，可以有效增加内部网络系统的安全性。 具体实现技术 1 系统的网络服务器 网络服务器是企业内部网络系统的核心服务器，肩负着企业上网用户的管理工作，主要用于企业内部的MIS系统运作。该服务器的系统平台为NT Server 4.0，并且安装了Service PACK3 与Microsoft NT Option PACK4。NT本身就是一个功能强大的软件包，内置了各种各样的服务软件，如动态地址分配DHCP、Windows网络名称服务Wins、IIS、FTP等。由于代理服务器、邮件服务器及文件传输服务器的用户管理都采用与NT用户管理集成的方法，因此入网用户只需在NT的用户管理器中建立一次即可在其他应用系统中使用。这种用户集成的方式还可以扩展到MIS应用，比如利用MS SQL Server的用户与NT用户的一致性，同时方便了MIS系统向WEB服务的移植。 客户端只需一次登录，便可以访问各种应用系统，他们的权限设置可以统一在一套客户管理机制下，极大地简便了用户管理。另外，NT所提供的系统分析和监控工具，包括服务器管理器、事件查看器、性能查看器、网络监视器、远程管理工具等都给系统管理人员的工作提供了极大的方便。 2 域名服务器 域名服务器DNS Server 用于对“域名“提供命名服务。域名是一个企业的资源，同时也是建立企业网站的必要条件。我公司已在中国互联网络信息中心注册了多个国内域名，需要建立起域名服务器以对这些域名提供命名服务。 我们通过NT DNS服务器建立起我公司的主域名服务器，并规定域名用于内部网络。也就是说，属于域的计算机名将被解释为内部地址。 在DNS的Zone File中，我们进行了相应设置，其中最重要的有如下两点： 将www服务器地址设为服务器的对外地址，建立起公司主站点的域名解释。 通过MX.记录的设置，保证邮件系统的正常运行，及所有发向邮件服务器的邮件能被正确引接到邮件服务器中。 另外，还需对企业内部网络的域名和地址进行统一规划，以便建立企业内部网络的路由和命名系统。 3 代理服务器与防火墙 由于企业申请到的Internet正式地址空间有限，不可能满足企业内部的直接使用，因此，必须设立代理服务器，使企业内部的用户通过代理服务器访问Internet。由于Microsoft Proxy Server能与NT Directory Server容易地集成，这就使网络用户仅通过一次网络登录就可以进入Internet，不需要再为Proxy Server重新创建用户帐号。 我们采用的服务软件为MS Proxy Server 2.0。同时，系统还集成了防火墙功能，可以在IP的断口级设置防火墙策略。该服务器的Web Proxy部件支持工业标准CERNProxy协议。CERN代理协议要求客户机程序要专门设置使用Proxy Server以便能通过http协议的修改版本来访问Internet。 4 邮件服务器 邮件服务器用来实现企业内Internet用户的邮件服务。Microsoft Exchange Server能够管理上千个用户，并具有丰富的通信、协作、小组日程和其他商业应用程序。同时，它提供了多种协议支持，主要有：POP3、IMAP4、SMTP、NNTP、LDAP、MAPI、X.40等。作为一个通讯和合作平台，Exchange Server为各种类型的商务用户提供了高性能、高可用性和管理服务。 5 IIS WEB服务器 IIS 4.0是集成在NT4中的WEB服务器，通过它提供的标准协议HTTP1.1实现WEB功能，可以建立Internet/Intranet站点。 IIS4是实现文档和信息共享的基础软件，它除支持HTML、ASP、ISAPI、CGI、ACTIVE X组件等页面制作技术外，同时还支持Frontpage主页制作软件，使得建立WEB应用服务和主页制作变得更加方便、可行。另外，IIS4支持在同一个IP地址上建立多个WEB站点，并提供了丰富的站点管理工具（有基于Windows的管理控制台、基于WEB的管理工具以及通过Script编程来实现的自动化管理），极大地方便了用户对WEB站点的管理。 在OPTION PACK4中带有一个主页分析软件Site Server express可以用来分析网络流量和监视网络连接。 IIS4通过和NT的目录服务集成，可以使得IIS4实现页面级的安全性。由于它支持http等安全通讯协议，为站点的安全性提供了较好的保障。 6 拨号服务器 我们通过USR的MODEM与CISCO 2500系列拨号路由器实现了从企业内部拨号上网的用户对企业内部网络的访问。该功能主要用于企业内部临时性的办公地点以及领导外出工作时的上网之用。 7其他服务器 充分利用Microsoft提供的产品还可以构造一系列服务应用，主要有：利用OPTION PACK4中的FTP服务软件可以构造FTP服务器，进行网上软件的